客戶痛點

  • 數(shù)據(jù)庫合規(guī)準(zhǔn)入

    目前數(shù)據(jù)庫管理方式通常是賬號密碼登陸,在這種場景下,存在賬號密碼被盜、共享賬戶、臨時賬號、登陸工具可能被惡意篡改等等問題,導(dǎo)致重要數(shù)據(jù)泄漏、刪庫、數(shù)據(jù)被篡改等事件發(fā)生,且事后難以定位責(zé)任人。針對以上問題,需要有效的準(zhǔn)入方法,對接入數(shù)據(jù)庫的人員進行有效的身份識別和認(rèn)證,放行合法用戶,拒絕非法接入。同時結(jié)合有效的識別手段,將數(shù)據(jù)庫登陸及管理行為與具體人員相關(guān)聯(lián),便于定位數(shù)據(jù)庫登陸及管理行為的主體。
  • 各類權(quán)限管理需求

    運維管控中權(quán)限管理往往極其復(fù)雜,數(shù)據(jù)庫特權(quán)賬號具有較高的權(quán)限,權(quán)限高意味著風(fēng)險高。為避免運維過程出現(xiàn)敏感數(shù)據(jù)泄露、數(shù)據(jù)高危操作等事件,數(shù)據(jù)庫的特權(quán)賬戶應(yīng)與敏感數(shù)據(jù)相隔離,并且將特權(quán)賬戶權(quán)限分離。同時加強內(nèi)部數(shù)據(jù)庫管理員、開發(fā)人員、測試人員、系統(tǒng)維護人員、業(yè)務(wù)數(shù)據(jù)維護員、網(wǎng)絡(luò)管理員及第三方運維人員等的權(quán)限管理,避免權(quán)限濫用,確保權(quán)限合法使用。
  • 訪問控制需求

    調(diào)研發(fā)現(xiàn),企業(yè)對數(shù)據(jù)庫管理人員、第三方運維人員等的管理方式大多為粗放式管理,缺少統(tǒng)一的運維操作策略。通用的堡壘機管理數(shù)據(jù)庫更多是基于身份層面的準(zhǔn)入識別,而對于登陸數(shù)據(jù)庫后的所有操作(如新增、修改、刪除等)是無法控制管理。
  • 實時監(jiān)控及告警需求

    業(yè)務(wù)系統(tǒng)運行期間需實時監(jiān)控數(shù)據(jù)庫安全,如若數(shù)據(jù)庫出現(xiàn)違規(guī)或非法事件,應(yīng)第一時間進行告警,提示管理人員進行處理。用戶可以制定告警策略,并輸出相應(yīng)報告,保證實時監(jiān)控數(shù)據(jù)庫運行情況。

產(chǎn)品介紹

        數(shù)據(jù)庫防水壩系統(tǒng)主要解決當(dāng)前運維環(huán)境下復(fù)雜的權(quán)限管控問題,從源頭上對運維人員和業(yè)務(wù)人員進行分離管控,采用多維度的安全認(rèn)證方式,如對業(yè)務(wù)系統(tǒng)的終端認(rèn)證,對sqlplus、Toad等常見運維工具的識別認(rèn)證,保證運維來源的可信、可控。系統(tǒng)針對不同級別的DBA數(shù)據(jù)庫權(quán)限進行分類,Schema級別的敏感數(shù)據(jù)分類,權(quán)限粒度細(xì)化到表格級別,對數(shù)據(jù)庫的敏感信息進行分類從而保障用戶數(shù)據(jù)資產(chǎn)的安全。系統(tǒng)主要由訪問控制模塊、數(shù)據(jù)庫解析模塊、防篡改模塊、合規(guī)審計模塊等幾大核心模塊組成。

產(chǎn)品亮點

1、敏感數(shù)據(jù)分類分級
清楚保護目標(biāo)才能落實安全保護措施,數(shù)據(jù)安全和運維安全需要重點關(guān)注1%~10%的敏感數(shù)據(jù),必須把敏感數(shù)據(jù)從普通業(yè)務(wù)數(shù)據(jù)中識別出來并進行獨立管理。敏感數(shù)據(jù)分類是數(shù)據(jù)安全和運維安全的基礎(chǔ)性工作,也是重點工作,數(shù)據(jù)庫防水壩系統(tǒng)通過以下三個方面進行數(shù)據(jù)分級分類:
● 以表格為基礎(chǔ)的敏感數(shù)據(jù)分類:支持自定義敏感表格組成敏感數(shù)據(jù)集合,方便管理。
● Schema級別的敏感數(shù)據(jù)分類:支持Schema級別所有表格形成敏感數(shù)據(jù)集合,自動管理敏感數(shù)據(jù)表格的生成、變更和消亡,簡化敏感數(shù)據(jù)管理。
● 以業(yè)務(wù)為單元的敏感數(shù)據(jù)分類:敏感數(shù)據(jù)集合作為一個獨立于數(shù)據(jù)庫之外的訪問控制單元,按照應(yīng)用程序進行歸類,合法應(yīng)用程序可以自動訪問敏感數(shù)據(jù)。

2、多維度準(zhǔn)入控制
數(shù)據(jù)庫防水壩系統(tǒng)對于接入數(shù)據(jù)庫的行為提供多維度的監(jiān)控,包括身份管理、應(yīng)用防假冒、防撞庫、直連控制和免密登陸等。身份管理通過應(yīng)用程序名、IP地址、主機名、操作系統(tǒng)賬戶、數(shù)據(jù)庫賬戶、數(shù)據(jù)庫實例名、時間、U盾等因素進行任意組合,形成新的登陸認(rèn)證規(guī)則,同時支持簽名登陸驗證和數(shù)字證書認(rèn)證方式,符合規(guī)則予以準(zhǔn)入,反之則阻斷;對于應(yīng)用防假冒,防水壩能夠識別真實應(yīng)用特征,防止人為惡意將其他的應(yīng)用改成業(yè)務(wù)系統(tǒng)應(yīng)用,假冒應(yīng)用訪問數(shù)據(jù)庫,進行非法操作;對于撞庫攻擊,數(shù)據(jù)庫防水壩系統(tǒng)可建立用戶信息白名單,通過限制同一個IP的請求次數(shù)和請求頻率來防止;對于直連控制,在反向代理部署模式下,可對直連數(shù)據(jù)庫的行為進行控制;防水壩系統(tǒng)可通過安全客戶端免密登錄數(shù)據(jù)庫,避免密碼泄露。數(shù)據(jù)庫防水壩系統(tǒng)整體將系統(tǒng)管理員、數(shù)據(jù)庫管理員、第三方代維人員和運維開發(fā)人員等的身份進行統(tǒng)一管理,隔離敏感數(shù)據(jù),使運維操作更加規(guī)范、透明、可控,構(gòu)建多維度數(shù)據(jù)庫接入認(rèn)證體系。

3、高危性操作防護
數(shù)據(jù)庫存在眾多特權(quán)賬號,如系統(tǒng)管理員、數(shù)據(jù)庫管理員、開發(fā)人員等,可執(zhí)行DDL、DML、代碼類的高危操作,并存在誤操作的可能。為解決此類問題,結(jié)合防水壩系統(tǒng)訪問控制功能,執(zhí)行delete、update等高風(fēng)險操作時要求攜帶where條件,只有符合要求才可進行操作,降低員工誤操作的可能性。

4、全面運維審計
數(shù)據(jù)庫防水壩系統(tǒng)提供全面的運維審計功能,可對數(shù)據(jù)庫查詢、新增、修改、刪除等行為進行監(jiān)控,可對審計事件進行搜索、管理,審計結(jié)果能夠鎖定操作終端,可基于單個會話進行事件回溯,符合等保三級的核心要求,符合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等對個人隱私數(shù)據(jù)信息的保護要求,符合GDPR、GLBA、CCPA等法案要求。保護敏感數(shù)據(jù)資產(chǎn)的安全審計,為運維管理提供極大的便利。

5、實時安全風(fēng)險感知
為更加直觀、可視的監(jiān)控數(shù)據(jù)庫整體的運行情況,防水壩提供數(shù)據(jù)庫安全實時風(fēng)險感知平臺,實時展示數(shù)據(jù)庫的安全情況,出現(xiàn)風(fēng)險時可快速定位當(dāng)前被攻擊的數(shù)據(jù)庫及發(fā)起攻擊的客戶端,同時對注入攻擊、漏洞攻擊、敏感訪問、系統(tǒng)運行、流量等進行24小時實時監(jiān)控,讓數(shù)據(jù)庫更安全,讓運維更輕松。

6、敏感數(shù)據(jù)訪問控制
為保證敏感數(shù)據(jù)安全使用,數(shù)據(jù)庫防水壩系統(tǒng)提供敏感數(shù)據(jù)訪問控制。需要授權(quán)才能訪問敏感數(shù)據(jù)集合,拒絕不具備訪問權(quán)限的操作。敏感數(shù)據(jù)集合支持設(shè)置訪問規(guī)則,訪問規(guī)則中可設(shè)定精細(xì)化的訪問因子,如應(yīng)用程序名、IP地址、操作系統(tǒng)賬戶、數(shù)據(jù)庫實例名、時間、U盾等條件,滿足條件方可訪問敏感數(shù)據(jù)集合。同時支持限制特定的JOB作業(yè)訪問敏感數(shù)據(jù)集合,或設(shè)置特定的JOB作業(yè)才可以訪問敏感數(shù)據(jù)集合,多方面控制敏感數(shù)據(jù)的訪問,有效防止敏感數(shù)據(jù)泄漏。

7、工作流臨時授權(quán)
日常運維中經(jīng)常會出現(xiàn)未授權(quán)訪問,或臨時需要訪問,為解決臨時授權(quán)訪問問題,數(shù)據(jù)庫防水壩系統(tǒng)設(shè)計工作流功能。未授權(quán)用戶操作數(shù)據(jù)庫前,需要通過工作流提交工單,將需要進行的操作一并提交,審批獲得權(quán)限即可進行后續(xù)操作。工作流包括流程管理和權(quán)限管理:
流程管理:工單錄入、工單查看、流程提交、審批管理、實時跟蹤、統(tǒng)計報表等。
權(quán)限管理:腳本上傳、SQL語句執(zhí)行確認(rèn)、提權(quán)確認(rèn)、權(quán)限回收等。

應(yīng)用場景

以下為數(shù)據(jù)庫防水壩系統(tǒng)適用場景:

  • 共享賬戶導(dǎo)致的責(zé)權(quán)不明問題

  • 大權(quán)限賬戶導(dǎo)致的數(shù)據(jù)泄露、數(shù)據(jù)丟失問題

  • 安全管理合規(guī)問題

  • 假冒應(yīng)用訪問數(shù)據(jù)庫

  • 撞庫攻擊

  • 竊取備份數(shù)據(jù)

  • 通過JOB訪問敏感數(shù)據(jù)

  • 惡意代碼如勒索攻擊

典型案例

電網(wǎng)數(shù)據(jù)庫防水壩案例

客戶價值:
市電力公司隸屬國家電網(wǎng)公司,負(fù)責(zé)全市電網(wǎng)規(guī)劃、建設(shè)和運營,承擔(dān)保障能源安全,為經(jīng)濟社會發(fā)展提供安全、可靠、優(yōu)質(zhì)電力供應(yīng)的任務(wù)。公司供電面積1.18萬平方公里,供電營業(yè)戶數(shù)超過470萬戶,供電服務(wù)人口超過1200萬人。

需求背景:
● 核心系統(tǒng)使用人員多
核心系統(tǒng)有大量的運維、研發(fā)等人員使用,核心數(shù)據(jù)庫使用人員較大,存在安全風(fēng)險。
● 核心數(shù)據(jù)庫缺少準(zhǔn)入機制
核心數(shù)據(jù)庫統(tǒng)一采用數(shù)據(jù)庫默認(rèn)認(rèn)證方式,核心數(shù)據(jù)庫密碼傳播較廣,存在安全風(fēng)險。
● 敏感數(shù)據(jù)無防篡改機制
核心系統(tǒng)存在大量的敏感數(shù)據(jù),一旦這些數(shù)據(jù)遭到篡改,將帶來嚴(yán)重的損失。
● 符合相關(guān)法律法規(guī)要求
需要滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、等保2.0等相關(guān)要求。

解決方案:
● 數(shù)據(jù)庫防水壩將以旁路的方式部署在核心網(wǎng)中。
● 數(shù)據(jù)庫防水壩通過反向代理的模式接管核心數(shù)據(jù)庫的運維流量。
● 在核心交換機上配置ACL策略,禁止用戶直接訪問核心數(shù)據(jù)庫。
● 數(shù)據(jù)庫防水壩具有多因子認(rèn)證功能,并能夠?qū)崿F(xiàn)列級訪問控制、動態(tài)脫敏等功能。
● 用戶通過工單流實現(xiàn)權(quán)限的發(fā)放與回收。

客戶價值:
● 多維度安全訪問控制和授權(quán)管理,解決運維過程存在的賬戶共享、臨時賬號、賬號管理混亂、運維操作不透明等數(shù)據(jù)安全問題。
● 對核心生產(chǎn)庫的重要敏感數(shù)據(jù)進行動態(tài)脫敏,實現(xiàn)敏感資產(chǎn)數(shù)據(jù)和非敏感數(shù)據(jù)的分離,防止運維人員非法訪問敏感數(shù)據(jù)。
● 智能化報表與告警訂閱,利于把控數(shù)據(jù)庫運維的整體安全態(tài)勢。
● 滿足安全合規(guī)審計要求,保護敏感數(shù)據(jù)資產(chǎn)的安全審計。

微信公眾號
使用微信掃一掃
或在微信中搜索
"中國—東盟信息港股份有限公司"
在線咨詢
熱線電話
舉報監(jiān)督
4006716888
按需定制個性化數(shù)字轉(zhuǎn)型方案,全程360°服務(wù)
立即咨詢